Upphandling av IT-säkerhetstjänster i offentlig sektor – 6 framgångsfaktorer

23 augusti 2022 / Artikel

Cybersäkerhet har hög prioritet hos de allra flesta organisationer och behovet av IT-säkerhetstjänster inom offentlig sektor har nog aldrig varit större. Upphandlingen av IT-tjänster innebär en högkompetensupphandling och kan innebära en del utmaningar för beställaren. Så vad ska man tänka på för att lyckas med upphandlingen av cybersäkerhetstjänster? I den här artikeln berättar Helena Ankar och Marcus Mollison, Senior Bid Managers på Iver, om sina erfarenheter av arbetet med offentliga upphandlingar och vilka framgångsfaktorer de identifierat i de upphandlingsprojekt som blir lyckade.

6 tips för en framgångrisk upphandling av IT-säkerhetstjänster

1. Dra lärdom ifrån liknande organisationer

I ett första stadie är det viktigt att göra research och inhämta information som kan vara av värde för upphandlingen. Inom offentlig sektor finns det ofta en stor vilja till samarbete och det ligger därför en vinning i att dra nytta av andras lärdomar ifrån tidigare upphandlingar av denna typ av tjänster.

– Ska du upphandla på en kommun - titta på hur grannkommunerna löst ett liknande problem. Ska du upphandla i en Region, fråga andra regioner och myndigheter om kunskapsutbyte gällande tidigare upphandlingar. Det är otroligt värdefullt för den egna upphandlingen att titta på hur andra gjort och ställa frågor som; Hur gjorde ni? Varför gjorde ni så? Och utifrån era lärdomar, finns det något ni skulle gjort annorlunda? säger Marcus Mollison.

 

2. Kravställ utifrån den egna verksamhetens behov (klassificera er data)

Lika viktigt som det är att titta på hur andra organisationer gjort, är det att sedan gå tillbaka till den egna organisationen och kartlägga vilka de egna behoven är för att säkerställa att säkerhetstjänsterna kravställs utifrån den egna verksamheten.

– Det är otroligt vanligt att vi ser anbud där man lagt säkerhetskraven väldigt högt utan att kanske ha tänkt igenom vad det är man faktiskt behöver givet den egna verksamhetens säkerhetsbehov. Det kan bli oproportionerligt dyrt att ha högsta säkerhetsnivån på all sin data, när all data inte är av känslig karaktär. Dessutom innebär en för hög säkerhetsnivå att det blir onödigt krångligt för användare att använda systemen. Därför är det viktigt att göra hemläxan och lära sig vilken data man behöver vilken säkerhet på, säger Helena Ankar.

Så hur vet man vilken säkerhetsnivå man behöver? För att ta reda på det behöver man titta på vilken typ av information man hanterar i organisationen och klassificera sin data utifrån dess karaktär.

All data en organisation hanterar är inte känslig, så genom att göra en dataklassificering kan man som beställare bilda sig en grundförståelse för den information man hanterar, var ansvaret ska ligga och vilka säkerhetsnivåer man behöver för olika typer av data.

– Man behöver helt enkelt göra det här jobbet för att till fullo kartlägga sitt behov och för att veta hur man ska kravställa leverantörer för att hitta rätt lösning, säger Helena Ankar.

 

3. Inkludera den mänskliga aspekten kring säkerhet i upphandlingen

Vid upphandling av IT-säkerhetslösningar är det lätt att glömma bort att IT inte längre är en isolerad del av en organisation utan genomsyrar allt en verksamhet gör idag. Så när det kommer till cybersäkerhet finns det många parametrar att ta i beaktning, något som Helena Ankar menar ibland glöms bort vid upphandling av dessa tjänster;

– Det är väldigt vanligt att organisationer enbart fokuserar på säkerhet i system i upphandlingarna. Samtidigt vet vi att den allra största risken för en organisations IT-miljö är den egna personalen. Därför blir utbildning av användarna inom cybersäkerhet extremt viktigt. Organisationer skulle därför gynnas av att inkludera detta i kravställningen och be leverantörer specificera hur de jobbar med användarna för att lyfta deras säkerhetsnivå. Annars kan denna helt avgörande aspekt utelämnas i de anbudssvar man får. Även om organisationen själva arbetar med dessa frågor har ofta leverantörerna bra kompetens och input som kan komplettera det egna arbetet.

 

4. Dra nytta av leverantörernas samlade expertis

Inom ramarna för offentlig upphandling finns goda möjligheter till att föra dialog med leverantörer innan anbudsprocessen drar i gång så länge det görs i enlighet med LOU. Marcus Mollison menar att detta är en viktig del för att nå ett framgångsrikt resultat av sin upphandling;

– Organisationer inom offentlig sektor har möjligheten att ta med leverantörerna i processen och hålla hearings med respektive leverantör innan anbudsprocessen drar i gång. Denna dialog är värdefull för både den egna behovsanalysen, och för att förstå marknaden och de olika lösningar som erbjuds. Även om dialog innan upphandlingen kostar både tid och pengar, så är det värt det – för en dålig leverans, som ju blir resultatet av en illa skött upphandling kan bli än mer kostsam.

Helena Ankar utvecklar;

– Organisationer har allt att vinna på att ta hjälp av leverantörerna i arbetet med upphandlingen av säkerhetstjänster. Vi levererar dagligen säkerhetstjänster till våra kunder och har dedikerade säkerhetsteam på olika nivåer som kan hjälpa till och vägleda. Det som i slutändan ofta blir bäst är om kunden själv har gjort sin hemläxa vad gäller säkerhet men också är öppen för leverantörens förslag och kompetens. På så sätt kan man tillsammans hitta rätt nivå i kravställningen för säkerhet.

 

5. Skapa ett tydligt och väl genomarbetat underlag för upphandlingen

Utöver att säkerställa att kravställan rör rätt saker, behöver också underlaget för upphandlingen genomarbetas och formuleras på ett strukturerat och tydligt sätt.

– Tydliga förfrågningar får tydliga svar. Att säkerställa att förfrågan är formulerad på ett strukturerat sätt innebär ju att du höjer nivån på de svar du kommer att få ifrån leverantörerna. Med en tydlig struktur blir det också lättare att utläsa svaren på din förfrågan och att jämföra anbudssvaren från olika leverantörer, säger Helena Ankar.

 

6. Planera upphandlingen i god tid för att undvika tidspress

Offentliga upphandlingar tar tid, se därför till att planera och vara ute i god tid för att inte hamna i tidspress. Även om det här är något som vi alla vet, riskerar vi ändå ofta att hamna i ett läge av tidspress av olika anledningar.

– Anbudsprocessen kan ibland bli långdragen och i en del upphandlingar finns det en tidspress från början. Ofta handlar det om att ett avtal med en tidigare leverantör går ut och att man därför har en tight deadline för sin upphandling. Denna typ av tidspress bör man försöka undvika då det riskerar att påverka resultatet av upphandlingen negativt. Man behöver också ta höjd för att implementationsprojektet ska få plats innan det gamla avtalet löper ut.

Samtidigt är det viktigt att anbudet är genomarbetat från början för att undvika att behöva ändra allt för mycket längs projektets gång. Detta då en för stor korrigering av anbudet kan riskera en överprövning.

– Ju mer tid du tillåter din upphandling att ta, och där du också möjliggör dialog genom hela processen, desto bättre resultat och leverans kan du vänta dig, avslutar Marcus Mollison.